Datenschutz 11 Min. Lesezeit

PDF teilen und Datenschutz: Warum lokale Verarbeitung DSGVO-sicher ist

Wer ein PDF online trennt, gibt oft mehr preis als gedacht. Dieser Ratgeber erklärt, wann eine Datenübermittlung vorliegt, warum clientseitige Verarbeitung kein Auftragsverarbeitungsverhältnis auslöst und worauf Behörden, Kanzleien und HR-Abteilungen achten sollten.

Anzeige
Eike-Christian Ramcke

Von Eike-Christian Ramcke  ·  Geschäftsführer, redaktionelle Verantwortung

Aktualisiert: Juni 2026

Ein zehnseitiger Arbeitsvertrag soll in Anschreiben, Vertrag und Anlagen zerlegt werden. Ein Sammelscan einer Patientenakte soll in Einzeldokumente getrennt werden. Eine Behörde will einen Aktenauszug für die Akteneinsicht aufteilen. In all diesen Fällen liegt der Griff zu einem kostenlosen Online-Splitter nahe, und genau hier beginnt das Datenschutzproblem: Die meisten dieser Dienste laden Ihre Datei zuerst auf einen fremden Server hoch. Dieser Beitrag zeigt, warum das rechtlich relevant ist und warum eine rein lokale, clientseitige Verarbeitung im Browser den Vorgang spürbar vereinfacht.

Kurz gesagt: Lokale (clientseitige) PDF-Verarbeitung bedeutet, dass die Datei ausschließlich im Browser des Nutzers geteilt wird und das Gerät nie verlässt. Da kein Dritter die Daten verarbeitet, entsteht kein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO, und es ist kein Auftragsverarbeitungsvertrag erforderlich.

Upload-Tool gegen lokale Verarbeitung: der entscheidende Unterschied

Technisch gibt es zwei grundverschiedene Wege, ein PDF online zu trennen. Beim serverseitigen Verfahren überträgt Ihr Browser die komplette Datei per HTTP-Upload an einen Server des Anbieters. Dort wird sie in den Arbeitsspeicher oder auf die Festplatte geschrieben, verarbeitet und das Ergebnis zum Download bereitgestellt. Anbieter wie PDF24, Smallpdf oder Adobe Acrobat online arbeiten nach diesem Muster, auch wenn sie eine zeitnahe Löschung zusichern.

Beim clientseitigen Verfahren passiert das Gegenteil: Der Browser lädt einmalig ein kleines JavaScript-Programm, das die Trennlogik enthält. Die eigentliche PDF-Datei wird über ein lokales Datei-Input gelesen und nur im Speicher Ihres eigenen Geräts verarbeitet. pdf-trennen.de nutzt diesen Ansatz. Es gibt schlicht keinen Endpunkt, an den Ihre Datei gesendet würde. Der Unterschied klingt klein, hat aber erhebliche rechtliche Folgen, denn DSGVO-Pflichten knüpfen an die Frage an, ob Daten an einen Dritten gelangen.

Der Datenfluss im Vergleich

Das folgende Diagramm zeigt, wo Ihre Datei in beiden Szenarien tatsächlich landet. Beim Upload-Tool verlässt das Dokument das Gerät, beim lokalen Tool bleibt es in dem grau hinterlegten Bereich.

Ihr Gerät / Browser PDF-Datei Upload-Tool Datei verlässt Gerät Lokales Tool bleibt im Browser Fremder Server Verarbeitung durch Dritte

Wann liegt eine Verarbeitung im Sinne der DSGVO vor?

Ein PDF, das einen Namen, eine Anschrift, ein Geburtsdatum, eine Personalnummer oder Gesundheitsdaten enthält, ist ein Träger personenbezogener Daten nach Art. 4 Nr. 1 DSGVO. Sobald Sie ein solches Dokument zu einem externen Dienst hochladen, findet eine Verarbeitung durch einen Dritten statt: Übermitteln, Speichern und Auslesen sind ausdrücklich genannte Verarbeitungsformen in Art. 4 Nr. 2 DSGVO. Der Anbieter wird dadurch in der Regel zum Auftragsverarbeiter.

Bei der rein lokalen Variante geschieht das Lesen und Aufteilen ebenfalls, aber es bleibt vollständig innerhalb Ihrer eigenen Sphäre als Verantwortlicher. Es gibt keinen Empfänger und keine Übermittlung an Dritte. Aus Sicht der Verordnung ist das vergleichbar damit, ein Dokument mit einem lokal installierten Programm wie Adobe Acrobat Desktop zu bearbeiten. Genau diese Eigenschaft macht clientseitige Tools für sensible Vorgänge so attraktiv.

Vorsicht bei kostenlosen Upload-Diensten

Eine Löschzusage nach einer Stunde ersetzt keinen Auftragsverarbeitungsvertrag. Solange Ihre Datei den Server eines Dritten erreicht, sind Sie als Verantwortlicher in der Nachweispflicht: AVV, Verarbeitungsverzeichnis und gegebenenfalls die Prüfung des Serverstandorts. Bei Berufsgeheimnisträgern nach § 203 StGB kann ein Upload sogar strafrechtlich relevant sein.

Auftragsverarbeitung nach Art. 28 DSGVO: wann sie greift, wann nicht

Art. 28 DSGVO regelt das Verhältnis zwischen einem Verantwortlichen und einem Dienstleister, der personenbezogene Daten in dessen Auftrag verarbeitet. Sobald ein Online-Splitter Ihre Dateien auf seinen Servern verarbeitet, wird er typischerweise zum Auftragsverarbeiter. Daraus folgen konkrete Pflichten, die viele Nutzer im Alltag übersehen.

Kriterium Upload-Tool (serverseitig) Lokales Tool (clientseitig)
Datei verlässt das Gerät Ja, vollständiger Upload Nein
Auftragsverarbeiter (Art. 28) In der Regel ja Nein, kein Dritter tätig
AVV erforderlich Ja, nach Art. 28 Abs. 3 Nein
Drittlandtransfer möglich Ja, je nach Serverstandort Nein
Eintrag im Verarbeitungsverzeichnis Empfehlenswert bzw. nötig Nicht durch das Tool ausgelöst

Der Kern ist einfach: Wo keine Daten an einen Dritten gelangen, gibt es keinen Auftragsverarbeiter und damit keine AVV-Pflicht. Das entlastet gerade kleine Teams, Einzelpersonen und öffentliche Stellen, die für jeden externen Dienst sonst Verträge prüfen und dokumentieren müssten.

Behörden, Gerichte und Kanzleien: besondere Sorgfaltspflichten

In der öffentlichen Verwaltung und in rechtsberatenden Berufen kommen zur DSGVO weitere Pflichten hinzu. Akten können besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO enthalten, etwa Gesundheits- oder Sozialdaten. Anwältinnen und Anwälte unterliegen der Verschwiegenheitspflicht, deren Verletzung nach § 203 StGB strafbewehrt ist. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt im IT-Grundschutz, Datenabflüsse an unkontrollierte Dritte grundsätzlich zu vermeiden.

Ein lokal arbeitendes Werkzeug löst dieses Spannungsfeld pragmatisch: Das Dokument bleibt auf dem Dienstrechner, der ohnehin Teil der gesicherten Infrastruktur ist. Es entsteht kein zusätzlicher Empfänger, der vertraglich gebunden, geprüft und überwacht werden müsste. Der Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO wird auf der technischen Ebene umgesetzt, nicht erst durch organisatorische Zusagen.

Tipp für Datenschutzbeauftragte

Nehmen Sie in Ihre interne Tool-Richtlinie die Regel auf, dass Dokumente mit personenbezogenen Daten nur mit clientseitigen Werkzeugen oder lokal installierter Software bearbeitet werden dürfen. Das reduziert die Zahl der AVV-pflichtigen Dienstleister spürbar und erleichtert das Pflegen des Verarbeitungsverzeichnisses.

So prüfen Sie selbst, ob ein Tool wirklich lokal arbeitet

Sie müssen sich nicht auf Werbeversprechen verlassen. Mit den Bordmitteln jedes Browsers lässt sich in einer Minute überprüfen, ob eine Datei das Gerät verlässt. Öffnen Sie die Entwicklerwerkzeuge und beobachten Sie den Netzwerkverkehr während des Trennvorgangs.

1. Seite öffnen, dann F12 drücken (Entwicklerwerkzeuge)
2. Reiter "Netzwerk" / "Network" wählen, Aufzeichnung starten
3. Filter auf "Fetch/XHR" setzen
4. PDF teilen und Ergebnis herunterladen
5. Prüfen: Erscheint ein POST/PUT-Request, der Ihre
   Datei im Request-Body überträgt?

   - KEIN Datei-Upload-Request  ->  lokale Verarbeitung
   - Großer POST mit Dateigröße  ->  Upload zum Server

Gegenprobe (noch eindeutiger):
   WLAN/Netzwerk nach dem Laden der Seite trennen.
   Funktioniert das Teilen offline weiter, läuft es lokal.

Bei pdf-trennen.de sehen Sie im Netzwerk-Reiter nach dem ersten Laden der Seite keinen weiteren Request mit Ihrer Datei, und der Offline-Test bestätigt das: Sobald die Seite geladen ist, funktioniert das Trennen auch ohne Internetverbindung, weil die gesamte Logik im Browser läuft.

Praxisbeispiel: Bewerbungsunterlagen einer HR-Abteilung trennen

Eine Personalabteilung erhält Bewerbungen häufig als ein einziges, zusammengefügtes PDF mit Anschreiben, Lebenslauf, Zeugnissen und Foto. Für die Ablage im Bewerbermanagement müssen diese Teile getrennt werden. Genau hier sind besonders schützenswerte Daten im Spiel: Foto, Geburtsdatum, frühere Arbeitgeber, mitunter Angaben zu Gesundheit oder Herkunft.

Würde die HR-Mitarbeiterin diese Datei zu einem beliebigen Online-Splitter hochladen, übermittelte sie die Bewerberdaten an einen externen Dienstleister, was ohne AVV und ohne Information der betroffenen Person datenschutzrechtlich problematisch ist. Mit einem lokalen Tool wählt sie stattdessen den Modus für benutzerdefinierte Bereiche, gibt etwa 1-2 für das Anschreiben und 3-5 für den Lebenslauf an und lädt die einzelnen Dateien direkt herunter. Die Bewerbung verlässt den Arbeitsplatzrechner zu keinem Zeitpunkt.

PDF jetzt datenschutzsicher teilen

Trennen Sie Ihre Dokumente vollständig lokal im Browser. Kein Upload, keine Anmeldung, keine AVV-Pflicht.

Zum PDF-Tool

Häufige Fragen zu PDF teilen und Datenschutz

Werden meine PDF-Dateien beim Teilen auf einen Server hochgeladen?

Bei pdf-trennen.de nicht. Die gesamte Verarbeitung läuft clientseitig im Browser, die Datei verlässt Ihr Gerät zu keinem Zeitpunkt. Bei den meisten anderen Online-Splittern dagegen wird die Datei zur Verarbeitung auf einen fremden Server übertragen, was eine Datenübermittlung im Sinne der DSGVO darstellt.

Ist das Trennen von PDFs ohne Upload DSGVO-konform für Unternehmen und Behörden?

Ja. Da bei rein lokaler Verarbeitung keine personenbezogenen Daten an einen Dritten übermittelt werden, entsteht kein Auftragsverarbeitungsverhältnis nach Art. 28 DSGVO. Es ist kein Auftragsverarbeitungsvertrag erforderlich, und es findet keine Übermittlung in ein Drittland statt. Damit eignet sich lokale Verarbeitung besonders für Behörden, Kanzleien, Arztpraxen und Personalabteilungen.

Brauche ich einen Auftragsverarbeitungsvertrag (AVV), wenn ich PDFs online teile?

Das hängt vom Tool ab. Bei einem Upload-Dienst, der Ihre Dateien auf seinen Servern verarbeitet, benötigen Sie als Verantwortlicher in aller Regel einen AVV nach Art. 28 Abs. 3 DSGVO. Bei einem rein clientseitigen Tool wie pdf-trennen.de wird kein Auftragsverarbeiter tätig, sodass kein AVV nötig ist.

Wie erkenne ich, ob ein PDF-Tool wirklich lokal arbeitet?

Öffnen Sie die Entwicklerkonsole des Browsers, Reiter Netzwerk, und teilen Sie eine Testdatei. Erscheint kein Upload-Request mit Ihrer Datei im Body, arbeitet das Tool lokal. Zusätzlich können Sie die Verbindung nach dem Laden der Seite trennen: Funktioniert das Teilen offline weiter, läuft die Verarbeitung im Browser.

Dürfen Behörden und Gerichte sensible PDFs mit einem Online-Tool trennen?

Mit einem Upload-Tool ist das heikel, weil Akten, Urteile oder Sozialdaten an einen externen Verarbeiter gelangen. Mit einem lokalen Tool bleibt das Dokument auf dem Dienstrechner. Das ist mit dem Grundsatz der Datenminimierung nach Art. 5 Abs. 1 lit. c DSGVO und einschlägigen Verschwiegenheitspflichten vereinbar, sofern die übrige IT-Umgebung sicher ist.

Ersetzt dieser Ratgeber eine Rechtsberatung?

Nein. Dieser Beitrag erklärt die technischen und datenschutzrechtlichen Grundzüge allgemein verständlich. Für die verbindliche Bewertung Ihres konkreten Einzelfalls, etwa Ihres Verarbeitungsverzeichnisses oder Ihrer AVV-Pflichten, wenden Sie sich bitte an Ihren Datenschutzbeauftragten oder eine fachkundige Beratung.

Quellen und weiterführende Informationen

Verwandte Artikel

Vergleich PDF24 vs. Smallpdf vs. pdf-trennen.de: Welcher Splitter ist der beste? Technik Das PDF-Format und das Trennen von Seiten: Wie ein Splitter funktioniert Praxis Gescanntes Dokument trennen: Mehrseitigen Scan in Einzeldateien zerlegen
← Zurück zum Tool
Anzeige
Anzeige
Anzeige
Anzeige